微软发布了带有恶意程序进程篡改检测的Sysmon

微软发布了带有恶意程序进程篡改检测的Sysmon 13 for Windows 10

微软发布了新版Windows10SysInternals工具Sysmon，(微软Sysinternals Suite中文绿色版工具下载)该工具现在具备了检测黑客何时将恶意代码注入合法Windows进程以绕过安全措施的能力。

sysmon13可以监视windows10进程的活动，现在可以检测进程空心化或进程herpaderping技术，这些技术通常在任务管理器中不可见。

进程空心化是指恶意软件启动处于挂起状态的合法进程，并用恶意代码替换进程中的合法代码。然后，该恶意代码将由进程执行，无论分配给该进程的权限是什么。

进程herpaderping是恶意软件在加载恶意软件后修改其在磁盘上的图像，使其看起来像合法软件。当安全软件扫描磁盘文件时，当恶意代码在内存中运行时，它会看到一个无害的文件。

已知恶意软件(包括Mailto/defray777勒索软件、TrickBot和BazarBackdoor)正在积极使用该技术。

要启用进程篡改检测，管理员需要向配置文件添加“processtamping”配置选项。你看了这里是Sysinternals网站上的文档 .

值得注意的是，BleepingComputer在Chrome、Opera、Firefox、Fiddler、microsoftedge和各种安装程序中发现了误报。